Inhaltsverzeichnis
Warum Passwörter (und klassische MFA) nicht mehr genügen
Das Passwort ist die älteste Schwachstelle der IT — und die hartnäckigste. Es lässt sich erraten, abfischen, aus geleakten Datenbanken nachschlagen und auf hunderten Diensten gleichzeitig durchprobieren. Laut dem Lagebericht des BSI zählen passwortbasierte Angriffe weiterhin zu den häufigsten initialen Einfallstoren für Cyberangriffe auf Unternehmen. Nicht, weil Angreifer besonders raffiniert wären — sondern weil das Konzept selbst kaputt ist.
Ein Passwort ist ein Geheimnis, das der Nutzer kennt und das der Dienst kennt. Genau darin liegt das Problem: Ein übertragbares Geheimnis kann abgefangen, weitergegeben oder erbeutet werden. Wer es kennt, kann sich als der Nutzer ausgeben. Kein Passwortmanager und keine noch so komplexe Passwortrichtlinie ändern etwas an dieser grundsätzlichen Angreifbarkeit.
Die naheliegende Antwort war jahrelang die Mehr-Faktor-Authentifizierung. Und ja: MFA ist ein enormer Fortschritt gegenüber dem reinen Passwort und sollte heute überall aktiv sein. Doch auch klassische MFA hat eine offene Flanke. SMS-Codes und App-generierte Einmalcodes (TOTP) sind ebenfalls übertragbare Geheimnisse — nur eben kurzlebige. Ein Angreifer, der über eine gefälschte Login-Seite phisht, kann den Code in Echtzeit abgreifen und sofort weiterverwenden. Sogenannte Adversary-in-the-Middle-Angriffe automatisieren genau das. Push-basierte MFA wiederum ist anfällig für „MFA-Fatigue“: Der Nutzer bekommt so lange Freigabeanfragen, bis er entnervt auf „Bestätigen“ tippt.
Die logische Konsequenz: Man braucht ein Anmeldeverfahren, bei dem gar kein übertragbares Geheimnis mehr existiert, das abgefangen werden könnte. Genau das leisten Passkeys.
Was Passkeys sind und wie sie funktionieren (FIDO2/WebAuthn)
Ein Passkey ist ein digitaler Anmeldeschlüssel, der das Passwort vollständig ersetzt. Technisch beruht er auf zwei offenen Standards: FIDO2 der FIDO Alliance und WebAuthn, der zugehörigen Web-Schnittstelle des W3C. Beide werden von einem breiten Industriekonsortium getragen — darunter Apple, Google und Microsoft — und sind heute in allen gängigen Betriebssystemen und Browsern verankert.
Das Grundprinzip ist die asymmetrische Kryptografie, also ein Schlüsselpaar aus privatem und öffentlichem Schlüssel:
- Beim Registrieren eines Passkeys erzeugt Ihr Gerät ein Schlüsselpaar. Der private Schlüssel verlässt das Gerät nie — er bleibt im sicheren Hardware-Speicher (etwa Secure Enclave oder TPM).
- Der öffentliche Schlüssel wird an den Dienst übermittelt und dort hinterlegt. Er ist, wie der Name sagt, öffentlich — mit ihm allein kann niemand etwas anfangen.
- Bei der Anmeldung schickt der Dienst eine zufällige Aufgabe (Challenge). Ihr Gerät signiert diese mit dem privaten Schlüssel und schickt die Signatur zurück. Der Dienst prüft sie mit dem öffentlichen Schlüssel.
Freigegeben wird dieser Vorgang lokal — per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Die Biometrie verlässt das Gerät dabei nie; sie entsperrt nur den Zugriff auf den privaten Schlüssel. Für den Nutzer fühlt es sich an wie ein Fingertipp. Im Hintergrund läuft ein kryptografischer Nachweis ab, bei dem zu keinem Zeitpunkt ein Geheimnis über die Leitung geht, das ein Angreifer abfangen könnte.
Man unterscheidet zwei Varianten: synchronisierte Passkeys (Cloud-Passkeys), die verschlüsselt über das Ökosystem des Herstellers auf Ihren Geräten geteilt werden, und gerätegebundene Passkeys — etwa auf einem FIDO2-Hardware-Sicherheitsschlüssel — die das Gerät nie verlassen. Für die meisten Unternehmen ist eine Mischung sinnvoll: synchronisierte Passkeys für Komfort im Alltag, Hardware-Schlüssel für besonders schützenswerte Admin-Konten.
Der Sicherheitsgewinn: phishing-resistent
Der entscheidende Vorteil von Passkeys lässt sich in einem Wort zusammenfassen: phishing-resistent. Und das ist keine Marketingaussage, sondern ergibt sich direkt aus der Funktionsweise.
Erstens gibt es kein übertragbares Geheimnis. Der private Schlüssel verlässt das Gerät nie. Es gibt kein Passwort, das man auf einer gefälschten Seite eingeben, keinen Code, den man weiterreichen könnte. Selbst wenn ein Angreifer den öffentlichen Schlüssel abgreift, ist damit nichts anzufangen.
Zweitens — und das ist der wichtigste Punkt — ist ein Passkey kryptografisch an die Domain gebunden. Der Browser gibt einen Passkey nur an genau die Domain zurück, für die er registriert wurde. Ruft ein Nutzer versehentlich eine täuschend echte Phishing-Seite unter einer ähnlichen Adresse auf, findet der Browser dort schlicht keinen passenden Passkey — die Anmeldung ist technisch unmöglich. Der klassische Angriff, bei dem ein Nutzer auf einer nachgebauten Login-Seite seine Zugangsdaten preisgibt, läuft ins Leere. Das kritische Urteilsvermögen des Nutzers wird an dieser Stelle schlicht nicht mehr gebraucht.
Damit entfallen auf einen Schlag mehrere der gefährlichsten Angriffsklassen: klassisches Phishing von Zugangsdaten, Credential Stuffing mit geleakten Passwörtern, das Abgreifen von Einmalcodes über gefälschte Seiten und der Diebstahl von Passwörtern aus kompromittierten Datenbanken. In der Praxis heißt das: Der Faktor Mensch, der bei Phishing die größte Schwachstelle ist, wird an der kritischsten Stelle technisch abgesichert.
Passkeys vs. klassische MFA
Ein häufiges Missverständnis: Passkeys und MFA seien konkurrierende Ansätze. Tatsächlich ist ein Passkey bereits eine Form von Mehr-Faktor-Authentifizierung — er vereint Besitz (das Gerät mit dem privaten Schlüssel) und Inhärenz oder Wissen (Biometrie beziehungsweise Geräte-PIN) in einem einzigen, reibungslosen Schritt.
Der Unterschied zeigt sich im Detail:
- SMS-Code: übertragbar, per SIM-Swapping und Phishing angreifbar. Passkey: nichts Übertragbares, phishing-resistent.
- TOTP-App (Einmalcode): besser als SMS, aber der Code lässt sich auf gefälschten Seiten in Echtzeit abfangen. Passkey: domaingebunden, kein Abfangen möglich.
- Push-Bestätigung: anfällig für MFA-Fatigue. Passkey: keine blinden Bestätigungen, jede Anmeldung ist ein aktiver kryptografischer Nachweis für die richtige Domain.
- Bedienkomfort: klassische MFA bedeutet Zusatzschritt und Tippen. Passkey: ein Fingertipp, spürbar schneller.
Die praktische Konsequenz: Passkeys ersetzen sowohl das Passwort als auch den zweiten Faktor — nicht additiv, sondern als überlegener Ersatz. Für die Übergangszeit bleibt klassische MFA jedoch ein wichtiges Sicherheitsnetz, solange nicht alle Nutzer und Konten auf Passkeys umgestellt sind.
Rollout in KMU — schrittweise statt Big Bang
Der häufigste Fehler bei der Einführung neuer Sicherheitstechnik ist der Versuch, alles auf einmal umzustellen. Bei Passkeys ist ein schrittweiser Rollout nicht nur bequemer, sondern auch sicherer — weil er Zeit lässt, Recovery-Prozesse und Sonderfälle sauber zu klären. Ein realistischer Fahrplan für ein KMU sieht etwa so aus:
1. Bestandsaufnahme und Identity-Provider klären. Die meisten KMU haben bereits einen zentralen Identity-Provider — Microsoft Entra ID, Google Workspace oder Okta. Alle drei unterstützen Passkeys nativ. Prüfen Sie zuerst, welche Ihrer geschäftskritischen Anwendungen über diesen zentralen Login (Single Sign-On) laufen. Jede Anwendung hinter dem zentralen Login profitiert automatisch von Passkeys.
2. Mit den kritischsten Konten beginnen. Starten Sie dort, wo ein Kompromittieren am meisten Schaden anrichten würde: Administrator- und Geschäftsführungskonten, Zugänge zu Finanz- und Personaldaten. Für diese Konten empfehlen sich zusätzlich Hardware-Sicherheitsschlüssel als besonders robuste, gerätegebundene Variante.
3. Pilotgruppe statt Vollrollout. Wählen Sie eine kleine, technikaffine Gruppe für den ersten echten Einsatz. Sie deckt die typischen Stolpersteine auf — neues Smartphone, Wechsel zwischen Windows und Mac, Anmeldung an fremden Geräten — bevor die gesamte Belegschaft betroffen ist.
4. Recovery- und Offboarding-Prozess definieren, bevor Sie ausrollen. Das ist der wichtigste organisatorische Punkt. Legen Sie fest, wie ein Mitarbeiter bei Geräteverlust wieder Zugang erhält, wer Passkeys zurücksetzen darf und wie beim Ausscheiden alle Passkeys zentral widerrufen werden. Ohne durchdachten Recovery-Weg wird der erste verlorene Laptop zum Support-Notfall.
5. MFA als Fallback aktiv lassen. Schalten Sie das Passwort nicht sofort ab. Lassen Sie Passkey und bestehende MFA parallel laufen, bis alle Nutzer mindestens einen Passkey registriert und einen zweiten Wiederherstellungsweg hinterlegt haben. Erst dann lässt sich der Passwort-Login sicher deaktivieren.
6. Schulen — aber kurz. Passkeys sind für Nutzer einfacher als Passwörter. Die Schulung braucht keine Stunden, sondern eine klare Kurzanleitung: Was ist ein Passkey, wie registriere ich einen, was tue ich bei einem neuen Gerät. Der Fokus liegt weniger auf Technik als auf dem Vertrauen, dass „nur der Fingerabdruck“ tatsächlich sicherer ist als ein langes Passwort.
Grenzen & Fallstricke
Passkeys sind ein echter Fortschritt — aber kein Allheilmittel. Wer sie einführt, sollte die offenen Punkte kennen, statt später überrascht zu werden.
Recovery bleibt die kritische Stelle. Der größte Fallstrick ist nicht die Anmeldung, sondern die Wiederherstellung. Geht ein Gerät verloren und existiert kein zweiter Passkey oder Wiederherstellungsweg, kann der Zugang blockiert sein. Dieser Prozess muss vor dem Rollout stehen, nicht danach.
Ökosystem-Bindung bei synchronisierten Passkeys. Cloud-Passkeys werden im Ökosystem des jeweiligen Anbieters synchronisiert. Ein Nutzer, der zwischen Apple, Google und Microsoft wechselt, erlebt die Synchronisierung nicht immer nahtlos über Plattformgrenzen hinweg. Für gemischte Geräteflotten ist das einzuplanen — plattformübergreifende Anmeldung funktioniert, ist aber ein zusätzlicher Schritt.
Nicht jede Anwendung unterstützt Passkeys. Der Standard ist breit etabliert, aber ältere Branchensoftware und interne Altsysteme können weiterhin auf Passwörter angewiesen sein. Solche Anwendungen lassen sich oft hinter dem zentralen Login bündeln oder brauchen für eine Übergangszeit weiterhin klassische Absicherung.
Geteilte Konten und Servicezugänge. Passkeys sind an Personen und Geräte gebunden. Für gemeinsam genutzte Funktionskonten oder technische Servicezugänge braucht es eigene Konzepte — hier ist ein zentral verwalteter Sicherheitsansatz gefragt, der auch diese Sonderfälle abdeckt.
Der Mensch bleibt im Spiel — nur an anderer Stelle. Passkeys eliminieren das Phishing von Zugangsdaten. Social Engineering verschwindet damit nicht: Ein Angreifer, der einen Mitarbeiter am Telefon dazu bringt, einen neuen Passkey auf einem fremden Gerät zu registrieren oder den Recovery-Prozess anzustoßen, umgeht die Technik. Awareness bleibt notwendig — der Angriffsvektor verschiebt sich lediglich.
Unterm Strich: Passkeys lösen das Kernproblem des Passworts sauber und sind für die meisten KMU die sinnvollste nächste Stufe der IT-Sicherheit. Der Erfolg steht und fällt aber mit sauberer Vorbereitung — insbesondere beim Recovery. Wer diese Hausaufgabe macht, gewinnt spürbar Sicherheit bei gleichzeitig besserem Bedienkomfort. Wir begleiten KMU bei der Einführung von Anfang an: von der Bestandsaufnahme über den Pilot bis zum durchdachten Wiederherstellungsprozess. Sprechen Sie uns an.

